28,000 cuentas de hosting GoDaddy comprometidas

28,000 cuentas de hosting GoDaddy comprometidas

Este es un anuncio de servicio público (PSA) del equipo de Y2K con respecto a un problema de seguridad que puede afectar a algunos de nuestros clientes. El 4 de mayo de 2020, GoDaddy, uno de los proveedores de alojamiento de sitios web más grandes del mundo, reveló que las credenciales SSH de aproximadamente 28,000 cuentas de alojamiento de GoDaddy fueron comprometidas por un atacante no autorizado.

SSH, si bien es extremadamente seguro si se configura correctamente, puede permitir inicios de sesión con una combinación de nombre de usuario / contraseña, o un nombre de usuario y un par de claves pública / privada. En el caso de esta violación, parece probable que un atacante haya colocado su clave pública en las cuentas afectadas para poder mantener el acceso incluso si se cambia la contraseña de la cuenta.

No está claro cuáles de los paquetes de alojamiento de GoDaddy se vieron afectados por esta violación. Según la declaración pública de GoDaddy :

“El 23 de abril de 2020, identificamos que los nombres de usuario y las contraseñas de SSH habían sido comprometidos por un individuo no autorizado en nuestro entorno de alojamiento. Esto afectó aproximadamente a 28,000 clientes. Inmediatamente restablecemos estos nombres de usuario y contraseñas, eliminamos un archivo SSH autorizado de nuestra plataforma y no tenemos ninguna indicación de que la persona haya utilizado las credenciales de nuestros clientes o haya modificado las cuentas de alojamiento de los clientes. El individuo no tenía acceso a las principales cuentas GoDaddy de los clientes “.

La violación en sí parece haber ocurrido el 19 de octubre de 2019.

¿Qué tengo que hacer?

Acción inmediata

Si se ha visto afectado por esta infracción y GoDaddy aún no lo ha notificado, es probable que se le notifique en el futuro cercano y decida cambiarse de alojamiento ahora mismo.

GoDaddy indica que han actualizado las contraseñas de las cuentas y eliminado la clave pública del atacante. Si bien esto debería evitar que el atacante acceda a los sitios afectados a través de SSH, recomendamos encarecidamente cambiar la contraseña de la base de datos de su sitio, ya que esto podría haber sido fácilmente comprometido por un atacante sin modificar la cuenta.

Las credenciales de base de datos comprometidas podrían usarse para obtener el control de un sitio de WordPress si las conexiones remotas de bases de datos están habilitadas, lo que GoDaddy permite en muchas de sus cuentas de alojamiento. También es posible que desee verificar en su sitio usuarios administrativos no autorizados, ya que podrían haberse creado sin modificar ningún archivo en el sitio.

No bajar la guardia

Las infracciones como esta pueden crear un objetivo principal para los atacantes que usan campañas de phishing como un medio para infectar a los usuarios.

El phishing, por definición general, es un ataque mediante el cual un atacante creará un correo electrónico que parece provenir de una fuente legítima, pero está destinado a obtener información confidencial de un usuario desprevenido. Aunque solo 28,000 cuentas de hosting parecen haber sido afectadas, se estima que GoDaddy aloja millones de sitios. Esto significa que hay millones de usuarios por ahí que podrían estar preocupados de recibir una notificación de que se ha violado su cuenta de alojamiento.

Por lo tanto, la probabilidad de una campaña de phishing dirigida a los usuarios de GoDaddy es alta. Recomendamos que, en estas condiciones, los clientes de GoDaddy tengan cuidado al hacer clic en los enlaces o al ejecutar cualquier acción en un correo electrónico para asegurarse de que no terminen siendo víctimas de un ataque de phishing.

Pero la mayor recomendación es pasarte de hosting con nosotros conoce nuestros planes de alojamiento para WordPress aquí

Hay algunas cosas clave que puede verificar para ver si es blanco de un ataque de phishing:

  • Verifique el encabezado del correo electrónico. Si la fuente del correo electrónico no proviene de un dominio GoDaddy registrado, lo más probable es que no provenga de GoDaddy y es un intento de phishing.
  • Busque una gran cantidad de errores tipográficos o de ortografía en el contenido del correo electrónico. Esto puede indicar la presencia de un atacante. Los correos electrónicos profesionales contendrán errores ortográficos o errores ortográficos mínimos, si los hay.
  • La intencionalidad de asustarte para que proporciones información personal. El correo electrónico de divulgación de incidentes de seguridad de GoDaddy no debería asustarlo ni pedirle que proporcione ninguna información. Simplemente debe informarle que puede haber sido afectado por una violación. Si recibes un correo electrónico que parece asustarte para que proporciones información, puede ser un intento de phishing.

Si no puede verificar la fuente de un correo electrónico o su legitimidad, es mejor ir directamente al sitio GoDaddy y contactarlos a través de sus canales de soporte estándar. Esto le permitirá verificar que su cuenta sea segura.

Si no te ayudan, cambia de alojamiento web.

Proporcionamos esto como cortesía a nuestros propios clientes y a la comunidad más grande de WordPress. Póngase en contacto con GoDaddy directamente si tiene preguntas sobre el incumplimiento o sobre la seguridad de su cuenta. Si tiene amigos o colegas que usan el alojamiento GoDaddy, le sugerimos que comparta esta publicación con ellos para asegurarse de que estén al tanto de este problema, y recomenda pasarse de alojamiento con nosotros.